Reglamento de ciberseguridad 5G incluyó el SCS 9001, pero no las Nesas

(CRHoy.com).-Una de las tantas dudas que dejó la publicación del reglamento de ciberseguridad para redes 5G, es por qué se incluyeron ciertos estándares sin relación con el tema y se dejaron por fuera otros reconocidos mundialmente.

Entre los elementos que se integraron en el Decreto No. 44196-MSP-MICITT están el Convenio de Budapest, que no tiene nada que ver con ciberseguridad, así como el SCS 9001, Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad, que si bien tiene relación con la materia, es de reciente emisión y asociado a la cadena de abastecimiento, aunque no necesariamente de comunicaciones móviles.

En cuanto al acuerdo internacional firmado en Hungría en 2001, trata sobre recomendaciones para luchar contra el cibercrimen y según el decreto, impide a empresas basadas en naciones que no lo hayan firmado, participar como proveedores de infraestructura de telecomunicaciones en Costa Rica.

Sin embargo, en la reglamentación quedaron por fuera los estándares de la 3GPP y las Network Equipment Security Assurance Scheme (Nesas, por sus siglas en inglés).

El primero, la Third Generation Partnership Project (3GPP, por sus siglas en inglés) es una colaboración de grupos de asociaciones de telecomunicaciones.

Estas entidades establecen, desarrollan y actualizan estándares, incluyendo las especificaciones de ciberseguridad.

Mientras que las Nesas garantizan seguridad para la industria de tecnologías móvil e incluye requisitos comunes para evaluaciones de seguridad de equipos de red de los proveedores.

También proporciona las herramientas necesarias para garantizar pruebas de aseguramiento efectivas.

Los cuestionamientos

Uno de los que levantó la voz por la inclusión del SCS 9001 fue el Sindicato de Ingenieros y Profesionales del Instituto Costarricense de Electricidad (Siice).

"El decreto introduce un nuevo estándar (SCS9001) que no corresponde a ecosistemas digitales móviles, pero lo aplican sin considerar el tiempo que les tomara a los potenciales proveedores de esta tecnología su adopción, y el mayor costo para los operadores de telecomunicaciones", manifestó el gremio.

Por su parte, la Cámara de Infocomunicación y Tecnología (Infocom), también había manifestado su preocupación al respecto.

En el documento CIT-0039-2023 del pasado 26 de setiembre, en el apartado de Consideraciones técnicas específicas, señala lo siguiente:

Sobre lo estipulado en los Artículos 6, 8, 9 y 10, acerca de los estándares, consideramos que se establece el requerimiento de un estándar nuevo, el SCS9001, de la Asociación Americana de la Industria de Telecomunicaciones (TIA), que se le impone tanto a los proveedores de equipos, como a los proveedores de servicios de telecomunicaciones.

A un año de existencia del estándar, ya se está exigiendo, aunque carece de madurez; y no necesariamente corresponde al ecosistema de servicios móviles; generando la exclusión de ciertos proveedores, sin aportar al mejoramiento de la seguridad en las redes 5G. El desarrollo de un ecosistema móvil, basado en un estándar que no fue hecho para este, requiere una curva de adopción más compleja para todos los participantes de la industria, lo que conlleva tiempo y costos en su adopción.

Eco legislativo

De hecho, el asunto en discusión llegó hasta la Asamblea Legislativa.

"El estándar que recomendamos es el de la 3GPP, el SCS 9001 corresponde a un estándar de la cadena de abastecimiento, relativamente nuevo, no son estándares que haya utilizado la industria usualmente y ni siquiera se ha incluido en procesos anteriores de espectro", explicó Cinthya Arias, miembro del Consejo Directivo de la Superintendencia de Telecomunicaciones (Sutel), tras una consulta de la diputada Monserrat Ruiz durante la audiencia ante la Comisión Permanente Especial de Relaciones Internacionales y Comercio Exterior.

Con anterioridad, la legisladora liberacionista había señalado que este estándar solo tiene un año de implementación y por lo tanto, carece de madurez.

"Requiere una curva de adopción más compleja para todos los participantes de la industria. El SCS9001 dice lo siguiente señora ministra: en su capítulo 4.2, requiere que el fabricante reporte la posición de su país de origen en el ranking de evaluación del Estado de Derecho que realiza la World Justice Project, si se mete en ese capítulo le va a traer un mapa goereferenciado donde respalda las palabras del señor viceministro y las suyas diciendo que China es el país más riesgoso", manifestó Ruiz Guevara en alusión a Paula Bogantes, jerarca de Ciencia y Tecnología y su viceministro, Hubert Vargas.

De igual manera, el congresista Oscar Izquierdo le consultó a Bogantes Zamora en esa misma comisión que le indicara cuántos países y hace cuánto se está implementado el SCS9001, pero el que se levantó a responder fue Elidier Moya, gerente de redes del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), a quien la ministra definió como "su refuerzo técnico".

"El SCS9001 es el único estándar que toca el tema de ciberseguridad y cadena de suministro, es un estándar nuevo y pocos países lo han implementado, de hecho está en desarrollo, Costa Rica diríamos que es punta de lanza en estos temas", contestó Moya Rodríguez; Izquierdo Sandí repreguntó que cuánto tiempo y cuánto le costará a los operadores implementar este estándar, a lo que la ministra respondió que esa era una pregunta para los operadores.

Tras la respuesta, el legislador verdiblanco manifestó que le quedó más que claro que la inclusión del estándar se trataba de una decisión política y no técnica.